Whitelist-DNS-Filter und Remote-Browser vs. Ransomware

Whitelist-DNS-Filter und Remote-Browser vs. Ransomware
Anzeige

Beitrag teilen

IT-Security-Experte ProSoft empfiehlt zwei Verteidigungsstrategien gegen Ransomware-Angriffe auf die Unternehmens-IT: Whitelist-DNS-Filter und Remote-Browser helfen erfolgreich gegen Ransomware.

Zwölf Prozent aller Cyberangriffe erfolgen inzwischen durch Ransomware (Quelle Global Threat Intelligence Report von NTT). Entsprechende Angriffe haben sich somit in den letzten Jahren vervierfacht. Die finanziellen Schäden, die so ein Angriff verursacht, steigen ebenfalls rasant. IT-Security-Experte, Trusted Advisor und Value Added Distributor ProSoft zeigt mit DNS-Filtering und ReCoBs (Remote Controlled Browser System) zwei wirkungsvolle, aber vom Ansatz her grundsätzlich unterschiedliche Strategien gegen Ransomware-Angriffe. Während ein DNS-Filter gefährliche Websites erkennt und blockiert, bevor Schadcode in das eigene Netzwerk gelangen kann, schirmt ein ReCoBS, also ein ferngesteuerter Web-Browser, das interne Netzwerk vom Internet ab und verhindert präventiv Angriffe, die etwaige Sicherheitslücken in Internetbrowsern ausnutzen. Doch DNS-Filtering ist nicht gleich DNS-Filtering und nur die Summe kombinierter Maßnahmen schützt wirklich zuverlässig.

Anzeige

Kombinierte Maßnahmen gegen Ransomware

Wer Ransomware einsetzt, will sich auf kriminelle Art schnell Geld verschaffen. Dringt die Schadsoftware in die Unternehmens-IT ein, verschlüsselt sie geschäftskritische Daten und macht diese unzugänglich. Die Angreifer fordern im Nachgang für die Entschlüsselung teils beträchtliches Lösegeld. Aus Angst, sensible Firmendaten könnten veröffentlicht oder verkauft werden, zahlen die Opfer oft hohe Lösegeldsummen. „Ob die Angreifer die Daten nach Zahlungseingang wieder freigeben, ist jedes Mal ein Glücksspiel. Betroffen sind hiervon vor allem Unternehmen aus dem Mittelstand sowie mittlere Organisationen – einschließlich Behörden und Unternehmen aus dem Gesundheitssektor*2“, weiß Robert Korherr, Geschäftsführer der ProSoft GmbH, zu berichten. Gemäß einer Studie zu Ransomware*3 gaben 70 % der befragten deutschen Unternehmen an, dass die wiederhergestellten Daten teilweise oder ganz beschädigt waren. 80 % der Organisationen, die Lösegeld bezahlt haben, werden ein zweites Mal durch Ransomware attackiert.

DNS-Filtering ist nicht gleich DNS-Filtering

Ungewöhnliche DNA-Aktivitäten sind ein untrügliches Anzeichen einer Ransomware-Attacke. DNS-Filter schützen hier dreifach: Drive-by-Downloads aktiver Inhalte von gefährlichen Webseiten werden häufig im Ansatz unterbunden. Das Nachladen von Malware-Komponenten von Command and Control Servern sowie die typische Datenexfiltration vor der eigentlichen Datenverschlüsselung auf Server des Angreifers sind ebenfalls konkrete Anhaltspunkte für eine aktive Ransomware-Phase. Traditionelle, nach dem Blacklisting-Prinzip arbeitende DNS-Filter müssen täglich über 200.000 neue Internet-Domänen erfassen und klassifizieren. Für die Dauer ab der Erkennung bis zur Integration der IP-Adressen von gefährlichen Webseiten in die Blacklist ist die IT anfällig. Whitelisting bietet bei DNS-Filtern dagegen erhebliche Vorteile.

Anzeige

Ein Whitelist-DNS-Filter, wie etwa Blue Shield Umbrella, eine Entwicklung des österreichischen Hidden Champions Blue Shield Security, blockiert zunächst alle unbekannten Webseiten und analysiert nur jene, die auch tatsächlich aufgerufen werden. Die eingesetzten Algorithmen und KI-gestützten Technologien des cloudbasierten DNS-Schutzschilds analysieren, erkennen und blockieren Gefahren und Anomalien bei jedem Aufruf in Echtzeit. Erst bei entsprechender Qualifizierung wird die Domain auf die Whitelist gesetzt. Dabei müssen sich die Domains permanent weiter qualifizieren, um auf der Whitelist zu bleiben. Zur Qualifikation nutzt Blue Shield Umbrella Machine Learning aus historischen Daten, eine eigens entwickelte Sandbox und weltweite Kooperationen mit anderen Herstellern und Organisationen.

Remote Webbrowser für hohe Internetsicherheit

Ein anderes Tool zur Abwehr von Ransomware-Angriffen stellt das von der Berliner m-privacy GmbH entwickelte ReCoBS TightGate-Pro dar. Die Lösung verfolgt einen anderen Ansatz und schützt vor Ransomware, die versehentlich bereits heruntergeladen wurde. TightGate Pro arbeitet dabei wie folgt: Der Webbrowser wird nicht mehr auf dem Arbeitsplatzrechner ausgeführt. Stattdessen übernimmt der dedizierte, in der demilitarisierten Zone (DMZ) aufgestellte, TightGate-Server die Ausführung des Browsers. Der Arbeitsplatzcomputer erhält lediglich die Bildschirmausgabe des Browsers als Videodatenstrom über ein funktionsspezifisches Protokoll. Aufgrund dieser physischen Trennung bleibt selbst der Aufruf einer kompromittierten Internetseite für das interne Netzwerk folgenlos.

Summe kombinierter Maßnahmen bietet maximalen Schutz

Wie jede andere Malware, gelangt Ransomware über die üblichen Kanäle wie Phishing, Spoofing, ungepatchte Sicherheitslücken, Drive-by-Downloads und Schadsoftware in aktiven Internet-Inhalten ins Unternehmensnetzwerk. Technische Maßnahmen wie Antivirensoftware, Log-Management & SIEM, Firewalls, Patch-Management, Endpoint Detection & Response (EDR), Network Detection & Response (NDR) sind einige der Tools, die sich gegen Cyberangriffe bewährt haben. Sicher schützen werden sie jedoch nur, wenn Daten aus unterschiedlichen Quellen korreliert werden. Organisatorische Maßnahmen wie Sicherheitsschulungen und Verhaltensregeln für Mitarbeiter sind ebenfalls eine wirksame Maßnahme, weil eine gewisse Skepsis auch gegen Zero-Day Malware wirkungsvoll ist.

Mehr bei ProSoft.de

 


Über ProSoft

ProSoft wurde 1989 als Anbieter von komplexen Softwarelösungen im Großcomputer-Umfeld gegründet. Seit 1994 fokussiert sich das Unternehmen auf Netzwerk-Management- und IT-Sicherheitslösungen für moderne, heterogene Microsoft-Windows-Infrastrukturen, inklusive Mac-OS, Linux sowie mobile Umgebungen und Endgeräte. Die Experten führen effiziente Soft- und Hardware für Konzerne und mittelständische Unternehmen und haben sich als Spezialisten für IT-Security etabliert. Darüber hinaus unterstützt ProSoft als Value-Added-Distributor (VAD) Hersteller beim „Go-to-Market“ und der Markteinführung neuer Lösungen im deutschsprachigen Teil Europas.


 

Passende Artikel zum Thema

Cyberrisiken in der Software-Lieferkette

Log4Shell oder Solarwinds sind typische Beispiele für Angriffe auf Unternehmen, die über deren Software-Lieferkette erfolgten. Kennzeichnend dafür ist, dass Cyberkriminelle ➡ Weiterlesen

Was Führungskräfte über Ransomware-Angriffe wissen sollten

Wie die meisten Branchen haben sich auch die Cyberkriminellen in den letzten zwei Jahren den veränderten Umständen angepasst und sich ➡ Weiterlesen

IT-Sicherheit in Zeiten des Ukrainekrieges

Noch ist unklar, ob zum analogen Ukraine-Krieg ein regelrechter Cyberkonflikt dazu kommt – wenn sich ein solcher denn überhaupt exakt ➡ Weiterlesen

Warum ist Backup eigentlich so kompliziert?

Ohne ein Backup hat ein Unternehmen schnell in Sachen RTO, RPO oder Ransomware verloren. Mit der richtigen Strategie bei Backups ➡ Weiterlesen

Ransomware: Backup allein ist keine Sicherheitsstrategie

Viele Unternehmen denken, ihre Datensicherung schütze sie gegen Ransomware. Die verlockend einfache Logik dahinter: Wenn man alle Daten wiederherstellen kann, ➡ Weiterlesen

Wie Ransomware-Mutationen Backups angreifen

Angriffe mit Ransomware werden immer trickreicher. Neben der klassischen Datenverschlüsselung suchen Angreifer auch gezielt nach Backups. Mit der richtigen Strategie ➡ Weiterlesen

Ransomware: In 5 Schritten zur Notfall-Strategie

In den letzten Monaten sahen sich weltweit zahlreiche Unternehmen Ransomware-Attacken und einem folgenden Notfall ausgesetzt, die sogar vor namhaften IT-Firmen ➡ Weiterlesen

Dem Insider-Risiko auf der Spur

Seien es Cyberattacken oder der Diebstahl von sensiblen Daten – ein Großteil der Unternehmen erkennt Angriffe von außen als reale ➡ Weiterlesen